Der Krypto-Hardware-Wallet-Anbieter Ledger erntet heftige Gegenreaktionen von seiner Online-Benutzerbasis, nachdem er ein umstrittenes Update veröffentlicht hat, von dem viele befürchten, dass es große Sicherheitslücken des Herstellers aufdeckt.
Ledger hat behauptet, dass die neue Funktionalität sowohl sicher als auch völlig optional sei, doch Sicherheitsexperten und Krypto-Inhaber distanzieren sich bereits von dem Unternehmen.
Inhaltsverzeichnis
Der umstrittene Wiederherstellungsdienst von Ledger
Die Bedenken begannen am späten Montag zuzunehmen, nachdem der Reddit-Benutzer Joe_Smith _Reddit eine veröffentlichte Post Ich bitte um ein offizielles „Ja oder Nein“ dazu, ob Ledger über eine integrierte Hintertür für den Zugriff auf die privaten Schlüssel der Benutzer verfügt. Ein privater Schlüssel ist die geheime alphanumerische Zeichenfolge, die Benutzern den Zugriff auf ihre Krypto in der Blockchain ermöglicht.
Smiths Frage bezog sich speziell auf Ledgers neuen „Ledger Recover“-Service – a Abo-Service für Inhaber von Nano Eine Wiederherstellungsphrase ist der private Schlüssel eines Benutzers, ausgedrückt in mnemonischer Form.
Laut Ledger funktioniert der Dienst – aktiviert im Firmware-Update 2.2.1 – durch Duplizieren der Wiederherstellungsphrase des Geräts auf dem Gerät, Verschlüsseln der Kopie, Fragmentieren in drei Teile und Sichern mit Ledger, Coincover und einem dritten unbenannten Anbieter. Um auf den Dienst zugreifen zu können, müssen Nutzer ihre Identität anhand eines Ausweisdokuments und einer Selfie-Aufnahme verifizieren.
Im Nachgang Twitter-Thread Am Dienstag stellte Ledger klar, dass der Dienst völlig „optional“ ist und nicht automatisch durch ein Firmware-Update aktiviert wird. „Ihre geheime Wiederherstellungsphrase wird sicher auf Ihrem Gerät generiert. Wir haben keinen Zugriff darauf“, fügte das Unternehmen hinzu.
Kann Ledger die privaten Schlüssel von Benutzern „raubmachen“?
Trotz der Zusicherungen von Ledgers wuchsen in der Community weiterhin Bedenken hinsichtlich einer Schlüsselidee: Das Update bewies, dass Ledger-Geräte entgegen den Behauptungen des Herstellers die privaten Schlüssel ihrer Benutzer nicht vor jeglichem externen Zugriff schützen.
„Das Vertrauen, dass das proprietäre sichere Element seinen Beitrag leistet, war der einzige Faden, der dieses Unternehmen zusammenhielt, und jetzt wurde dieser durchtrennt“, schrieb Reddit-Benutzer StPinkie am Dienstag als Antwort auf Ledger. „Ich kann Ledger niemandem mehr empfehlen, dem seine digitale Souveränität am Herzen liegt.“
Der beliebte Krypto-Entwickler, Autor und Prüfer „foobar“ auf Twitter wiederholte diese Reaktion und forderte seine Follower auf, sofort von Ledger-Wallets abzuwandern.
Hören Sie auf, Ledger-Hardware-Wallets zu verwenden. Gehen Sie sofort von ihnen weg. Sie haben nichts als grobe Inkompetenz und ein völliges Missverständnis ihrer eigenen Absichten gezeigt. Und jetzt haben sie öffentlich zugegeben, dass sie ihre eigene proprietäre Hardware absichtlich mit einer Hintertür versehen haben. Hören Sie auf, Ledger zu verwenden pic.twitter.com/LLFFUsOW4y
— foobar (@0xfoobar) 16. Mai 2023
„Das eklatante Problem bei diesem Update besteht darin, dass Ihr privater Schlüssel jederzeit durch ein böswilliges oder versehentliches Firmware-Update beschädigt werden kann“, sagte er hinzugefügt.
Andere Benutzer notiert Der Widerspruch zwischen den Behauptungen von Ledger auf seiner Website, dass die Schlüssel der Benutzer „nie das Gerät verlassen“, und seinem Ledger Recover-Dienst, der die privaten Schlüssel der Benutzer in Shards an drei verschiedene Anbieter „verteilt“, so CEO Pascal Gauthier.
Dies ist eine Meisterklasse, wie Sie Ihr Kerngeschäft mit dem Versuch, „innovativ zu sein“, zerstören können.
Ich habe euch weiterhin weiterempfohlen, auch nachdem ich eure Kunden umgehauen hatte, aber das ist der letzte Tropfen, der das Fass zum Überlaufen bringt.
✌️
— Chris Dunn (@ChrisDunnTV) 16. Mai 2023
Viele in der Community empfahlen Ledger, ein separates Wallet einzuführen, das einen Seed-Recovery-Service bietet, anstatt es als Firmware-Update für bestehende Kunden bereitzustellen, die maximale Sicherheit von ihren Geräten erwarten.
Ledger hat kompromittiert Die Benutzersicherheit wurde in der Vergangenheit dadurch beeinträchtigt, dass im Juli 2020 versehentlich personenbezogene Daten von über 270.000 Kunden preisgegeben wurden, die später Opfer von E-Mail- und SMS-Phishing-Kampagnen wurden. Dieses Leck hatte keinen Einfluss auf die Sicherheit der privaten Schlüssel der Benutzer.
Ledger-Verkäufe aufgestockt nach dem Zusammenbruch von FTX im November, gerade als Anleger versuchten, ihre eigene Kryptowährung sicher zu schützen, ohne zentralisierten Vermittlern zu vertrauen.
.